package net.maku.framework.security.config;

import lombok.AllArgsConstructor;
import net.maku.framework.security.exception.SecurityAuthenticationEntryPoint;
import net.maku.framework.security.filter.AuthenticationTokenFilter;
import net.maku.framework.security.filter.KyyAuthenticationTokenFilter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.annotation.web.configurers.HeadersConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.filter.OncePerRequestFilter;

import java.util.List;

/**
 * Spring SecurityFilter 配置文件
 *
 * @author 阿沐 babamu@126.com
 * <a href="https://maku.net">MAKU</a>
 */
@Configuration
// 表明该类是一个 Spring 配置类，Spring 容器会将其识别为一个配置类，并处理其中定义的 Bean。
@AllArgsConstructor
// Lombok 注解，自动生成一个包含所有字段的构造函数，用于依赖注入。
@EnableWebSecurity
// 启用 Spring Security 的 Web 安全支持，配置类将用于定义 Web 安全相关的规则。
@EnableMethodSecurity
// 启用方法级别的安全支持，允许在方法上使用安全注解（如 @PreAuthorize、@PostAuthorize 等）进行权限控制。
public class SecurityFilterConfig {
    private final AuthenticationTokenFilter authenticationTokenFilter; // 管理端过滤器
    private final KyyAuthenticationTokenFilter kyyAuthenticationTokenFilter; // kyy 客户端过滤器
    private final PermitResource permitResource;
    private final OncePerRequestFilter ecpmTokenAuthenticationFilter; // Ecpm专属Token过滤器



    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 获取被 Spring Security 忽略的 URL 列表
        List<String> permitList = permitResource.getPermitList();
        // 将 List<String> 转换为 String[]，用于 requestMatchers 方法
        String[] permits = permitList.toArray(new String[0]);
        http
                // 添加管理端过滤器 将自定义的 Token 过滤器添加到 Spring Security 过滤器链中，位于 UsernamePasswordAuthenticationFilter 之前
                .addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                //添加kyy客户端过滤器
                .addFilterBefore(kyyAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                // 添加Ecpm专属Token过滤器
                .addFilterBefore(ecpmTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
                // 配置会话管理策略为无状态（STATELESS），即不使用 Session
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                // 配置请求授权规则
                .authorizeHttpRequests(auth -> auth
                        // 允许忽略授权的 URL 列表中的请求
                        .requestMatchers(permits).permitAll()
                        // 允许所有 OPTIONS 请求（通常用于 CORS 预检请求）
                        .requestMatchers(HttpMethod.OPTIONS).permitAll()
                        // 其他所有请求都需要认证
                        .anyRequest().authenticated()
                )
                // 配置异常处理，使用自定义的认证入口点（用于处理未认证的请求）
                .exceptionHandling(exception -> exception.authenticationEntryPoint(new SecurityAuthenticationEntryPoint()))
                // 禁用 X-Frame-Options 头部，允许页面在 iframe 中加载
                .headers(headers -> headers.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable))
                // 禁用 CSRF 保护（通常用于无状态 API，如 RESTful 服务
                .csrf(AbstractHttpConfigurer::disable)
        ;
        // 构建并返回配置好的 SecurityFilterChain
        return http.build();
    }

}
